Bu döküman Adli Bilişim Nedir?,Adli Bilişim Uzmanı ne yapar?,Nasıl Adli Bilişim Uzmanı olunur ve hangi sertifakalar alınır gibi temel konuları anlatmak için hazırlanmıştır.Sunumda Adli Bilişimde kullanılan araçların isimlerinide yer verilmiştir.Umarım işinize yarar. www.gurelahmet.com ve ahmetgurel.yazilim@gmail.com üzerinden ulaşabilirsiniz.
İstanbul Şehir Üniversitesi - Kablosuz Ağlarda Adli Analiz - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı Bilgisayar Adli Analizi Dersi
Hazırlayan: Gökhan Karaçay
Bu döküman Adli Bilişim Nedir?,Adli Bilişim Uzmanı ne yapar?,Nasıl Adli Bilişim Uzmanı olunur ve hangi sertifakalar alınır gibi temel konuları anlatmak için hazırlanmıştır.Sunumda Adli Bilişimde kullanılan araçların isimlerinide yer verilmiştir.Umarım işinize yarar. www.gurelahmet.com ve ahmetgurel.yazilim@gmail.com üzerinden ulaşabilirsiniz.
İstanbul Şehir Üniversitesi - Kablosuz Ağlarda Adli Analiz - Bilgi Güvenliği Mühendisliği Yüksek Lisans Programı Bilgisayar Adli Analizi Dersi
Hazırlayan: Gökhan Karaçay
Dökümanın Genişletilmiş Hali : https://drive.google.com/file/d/0ByE2shCr5pUQblJNanctQ29HT3c/view
Network Pentest'e Giriş Dökümanı | Ahmet Gürel
www.gurelahmet.com
Window ağlarda saldırganların yatay hareketleri ve bunların tespiti konusunda düzenlediğimiz webinarda kullanılan sunumdur.
Amacımız saldırı ve savunma tarafının bakış açılarını bir arada sunmaktı.
Siber saldırıların tespitinde ve olay müdahalesinde Windows sistemlerin logları bize önemli bilgiler verir. Sistemin ilk ele geçirildiği andan başlayarak siber saldırganların yerel ağda yayılmasına kadar pek çok adıma bu loglar üremektedir.
Webinarda aşağıdaki konuları ele aldık:
1- Siber Ölüm Zinciri: Siber saldırıların 7+1 adımı
2- Yatay hareket (lateral movement): Siber saldırganların yerel ağdaki davranışları
3- Fidye yazılımlardaki rolü: Fidye yazılımların yerel ağda yayılmak için kullandığı teknikler
4- Yaşanılan senaryolardan örnekler
5- Yatay hareket için kullanılan araçlar: Siber saldırganlar tarafından kullanılan araçlar
6- Windows Event Logs: Yatay hareketleri tespit etmek için kullanılabilecek loglar
7- LogonTracer Aracı: Log analizini kolaylaştıracak ücretsiz bir araç
8- Olay tespiti ve müdahalesinde Microsoft Advanced Threat Analytics (ATA) aracı kullanımı
9- Yatay hareket tespiti için öneriler
================
Sorularınız için sparta@sparta.com.tr
BGA eğitmenleri tarafından hazırlanan Beyaz Şapkalı Hacker (CEH) Laboratuvar Kitabıdır. Dokümanı https://www.bgasecurity.com/makale/beyaz-sapkali-hacker-ceh-lab-kitabi/ adresimiz üzerinden indirebilirsiniz.
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim NotlarımNur Yesilyurt
Linux Yaz Kampı 2014 bünyesinde gittiğim Web Uygulam Güvenliği Ve Güvenli Kod Geliştirme Notlarımı içermektedir.
En güncel hali her zaman Github üzerinde olacaktır. En sağlıklısı ordan edinmeniz olur.
Github repo linki: https://github.com/1zinnur9/wGuvenlik_LYK14
Cloudlare sitenizi güvenlik açısından ileri seviye bir güçlendirmeye alan ücretli ve ücretsiz proxy hizmetlerini kurumsallaştırıp sunan sistemdir. Cloudflare bir içerik dağıtım ağı servisidir yani sitenizin verilerini dünya çapında dağıtılmış sunucularda saklar ve sitelerin ip adreslerini saklar. Her türlü yazılım ile yazılan sisteminize entegre edebileceğiniz bu sistemi bugün ismi duyulmuş çoğu site kullanmaktadır. Aynı zamanda sizin trafik dostunuz olan bu site önbellek (cache) tutarak daha az sorgu yapılmasını, dosya indirilmesini sağlar ve böylece trafiğiniz azalmış olur.
Dökümanın Genişletilmiş Hali : https://drive.google.com/file/d/0ByE2shCr5pUQblJNanctQ29HT3c/view
Network Pentest'e Giriş Dökümanı | Ahmet Gürel
www.gurelahmet.com
Window ağlarda saldırganların yatay hareketleri ve bunların tespiti konusunda düzenlediğimiz webinarda kullanılan sunumdur.
Amacımız saldırı ve savunma tarafının bakış açılarını bir arada sunmaktı.
Siber saldırıların tespitinde ve olay müdahalesinde Windows sistemlerin logları bize önemli bilgiler verir. Sistemin ilk ele geçirildiği andan başlayarak siber saldırganların yerel ağda yayılmasına kadar pek çok adıma bu loglar üremektedir.
Webinarda aşağıdaki konuları ele aldık:
1- Siber Ölüm Zinciri: Siber saldırıların 7+1 adımı
2- Yatay hareket (lateral movement): Siber saldırganların yerel ağdaki davranışları
3- Fidye yazılımlardaki rolü: Fidye yazılımların yerel ağda yayılmak için kullandığı teknikler
4- Yaşanılan senaryolardan örnekler
5- Yatay hareket için kullanılan araçlar: Siber saldırganlar tarafından kullanılan araçlar
6- Windows Event Logs: Yatay hareketleri tespit etmek için kullanılabilecek loglar
7- LogonTracer Aracı: Log analizini kolaylaştıracak ücretsiz bir araç
8- Olay tespiti ve müdahalesinde Microsoft Advanced Threat Analytics (ATA) aracı kullanımı
9- Yatay hareket tespiti için öneriler
================
Sorularınız için sparta@sparta.com.tr
BGA eğitmenleri tarafından hazırlanan Beyaz Şapkalı Hacker (CEH) Laboratuvar Kitabıdır. Dokümanı https://www.bgasecurity.com/makale/beyaz-sapkali-hacker-ceh-lab-kitabi/ adresimiz üzerinden indirebilirsiniz.
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim NotlarımNur Yesilyurt
Linux Yaz Kampı 2014 bünyesinde gittiğim Web Uygulam Güvenliği Ve Güvenli Kod Geliştirme Notlarımı içermektedir.
En güncel hali her zaman Github üzerinde olacaktır. En sağlıklısı ordan edinmeniz olur.
Github repo linki: https://github.com/1zinnur9/wGuvenlik_LYK14
Cloudlare sitenizi güvenlik açısından ileri seviye bir güçlendirmeye alan ücretli ve ücretsiz proxy hizmetlerini kurumsallaştırıp sunan sistemdir. Cloudflare bir içerik dağıtım ağı servisidir yani sitenizin verilerini dünya çapında dağıtılmış sunucularda saklar ve sitelerin ip adreslerini saklar. Her türlü yazılım ile yazılan sisteminize entegre edebileceğiniz bu sistemi bugün ismi duyulmuş çoğu site kullanmaktadır. Aynı zamanda sizin trafik dostunuz olan bu site önbellek (cache) tutarak daha az sorgu yapılmasını, dosya indirilmesini sağlar ve böylece trafiğiniz azalmış olur.
12.04.2012 Tarihinde Çorlu Namık Kemal Üniversitesi ev sahipliğinde, Gökmen Güreşçi tarafından düzenlenen İnternet Haftası etkinliklerinde LabSec Community olarak yerimizi aldık.
Uç nokta güvenliğinin önemi, EPP ve EDR çözümleri,
Microsoft ATA ve osquery gibi yardımcı hızlı araçlar
Hazırlayan: Fevziye Taş, Bilgi Güvenliği Mühendisi
Bilgi Güvenliği üzerine ARGE yapmak ve müşteriye ihtiyaç duyduğu ürünleri üretebilmek amacıyla kurulmuştur. 1999 yılından beri bilgi güvenliği konusunda sahip olduğu deneyimleri ile bu konuda çalışan herkesin işini kolaylaştırma hedefindedir. Bu bağlamda ilk iş olarak SECURISKOP projesini gerçekleştirmiş ve bunu bir ürün haline getirmiştir. SECURISKOP, piyasada bulunan güvenlik açıklıkları tarama yazılımlarını yönetip, bunlara ek özellikler sağlayarak, güvenlik açıklıkları ve bunların kapatılmasını kolaylaştıran bir platformdur.
2. ADLI BILIŞIM INCELEME SÜREÇLERI
El konulacak bilgisayarlardan veri almaktan tutun, bilgisayarı dondurmak, verileri kopyalamak, klonlamak
bilgisayarı kapatmak ve laboratuvara götürülmesine kadar süreçler çok titiz bir biçimde yerine getirilmeli ve
eldeki delillerden hiç birinin kaybolmaması sağlanmamalıdır. Bunlarla beraber yapılan tüm işlemler adımı
ayrıntılı bir biçimde dokümante edilmelidir. Temel süreçleri bütünü aşağıda listelenmiştir.
Kanıtların bulunduğu ortamın boşaltılması ve kamera ile sürecin takip edilmeye başlanması.
Kanıtlar plastik eldivenler vasıtası ile gerekli bilgisayarın açılması, açılış sürecinin analizi, açılmışsa o anki
durumunun tayini, var olan kablosuz bağlantıların hemen tespit edilip kapatılıp kapatılmayacağına karar
verilmesi gerekli delil toplama işlemlerinin üstün yetenekli programlar vasıtası ile alınması, bilgisayarın
kapatılması süreçlerinin hepsi adli birimleri tarafından belirlenmiş sistematiğe göre yapılıp raporlanmalıdır.
Elde edilen deliller programlar vasıtası ile incelenmeli gerekiyorsa şifre çözme yöntemleri kullanılmalıdır.
Suçlarla ilgili gerekli ilişkilendirme çalışmaları yapılır, suç unsurları tespit edilir ve teknik anlamda raporlanır.
Çıkartılan çalışma notları Adli birimlere teknik terimler kullanılmadan özet ve detay rapor olarak anlaşılır bir
biçimde sunulmalıdır.
3. DIJITAL DELIL NEREDE?
Dizüstü yada Masaüstü Bilgisayarlar | Tabletler
Harici Sabit Diskler
CD/DVD/HD DVD/Blu-ray Media’lar
USB Flash Memory’ler
Fotokopi Cihazları | Faks | Printer’lar
Taşınabilir Player’lar (Ipod/Zune/MP3 Player)
Cep Telefonları, Çağrı Cihazları ve PDA’lar
Hafıza Kartları
Telesekreterler
Diğer Elektronik Cihazlar
Yukarıda sayılan elektronik cihazların yanında, kredi kartı basma, çoğaltma, kopyalama cihazları (card
skimmer), cep telefonu klonlama cihazları, GPS’ler gibi suç ile ilişkili olabilecek bütün cihazlarda hem
delil içerebilirler hem de kendileri delil olabilirler.
Dijital delil her yerde…
4. Dijital Hedef Tespiti
Delillerin Güvenliği
Dosya Türleri ve Tespit
Veri Bulma ve Kurtarma
İlişkilendirme
Suç Unsurlarını Tespit
Etme
Adli Makama Yapılacak
Raporlama
Olaya İlk Müdahale Dijital Delil Toplama Dijital Veri Analizi Adli Raporlama
İnceleme Süreçleri
5. .01 | OLAYA ILK MÜDAHALE
Tüm açılardan suç unsuru içeren bilişim sisteminin, sistemin bağlı olduğu ağa ait bağlantıların ve
ortamın fotoğrafları çekilmedir.
Tüm bağlantılar etiketlenmelidir,
Sistem bağlı olduğu ağdan ayrılmalıdır,
Yapılan işlemler not edilmelidir,
Bilgisayar kapatılmamalı, yeniden başlatma prosedürlerine dikkat edilmeli,
Hiç bir delilin değişmediğinden veya kaybolmadığından emin olunmalı,
Yedeklenecek disk şüpheli bilgisayar diskinden büyük olmalı,
Sisteme sadece ilgili kişi erişmelidir.
Veriler düzgün bir şekilde bit to bit klonlanmalıdır.
İmajların dijital imza (hash) değerleri alınmalıdır.
Şüpheli bilgisayarından
yemeksepeti.com'a girilip,
yemek siparişi verilmemelidir.
6. .02 | DİJİTAL DELİL TOPLAMA
Kanıtların toplanması ve yeni kanıtların elde edilmesi aşamasıdır.
İmajların gizliliği, erişilebilirliği ve bütünlüğü sağlanmalıdır. (CIA)
Silinmiş verilerin yeniden kurtarılması ve şifrelenmiş verilerin şifre çözülmesi,
Analizci doğu kanıtları bulabilmek için tüm dosyaları analiz etmelidir.
Normal dosyalar, Silinmiş dosyalar, Gizli dosyalar, Şifreli dosyalar, Şifre korumalı dosyalar, swap(geçici)
dosyalar, İşletim sistemi dosyaları
Suç deliline göre, Video dosyaları, Mail dosyaları, PDF dosyaları, Uygulama dosyaları incelenmelidir.
En ufak detay bile,
en güçlü delil olabilir.
7. .03 | DİJİTAL VERI ANALIZI
Analizler farklı bilgisayarda yapılmamalıdır,
Bütünlüğü doğrulanmış veriler üzerinden analiz yapılmalıdır,
Analiz sürecinde kullanılan her yazılım, donanın ve araç uygun bir şekilde ne amaçla
kullandıkları dâhil olmak üzere dökümante edilmelidir,
Şüpheli bilgisayardan elde edilen tüm dosya, program, uygulama tarih ve saat bilgisi de
yazılarak kayıt altına alınmalıdır,
Bir nesne listesi oluşturulmalı ve sürekli güncellenmelidir. (Keyword List)
‘unallocated’ , ‘slack space’, ‘file slack’ ya da ‘swap space’ gibi alanlar gözden kaçırılmamalıdır.
İnceleme aşamaları kaydedilmelidir.
Sizin belirlediğiniz adımları uygulayan
her uzman, o veriye erişebilmelidir.
8. .04 | ADLI RAPORLAMA
Adli bilişim sürecindeki son aşama toplanmış kanıtların adli makamlara sunulması aşamasıdır.
Her şeyden önce kanıtların delil olarak kabul edilmesi için bulunan kanıtlar adli kurallara
uygun olmalı ve yasal örneklerden oluşmalıdır.
Mahkemece kabul edilmesi için en büyük öncelik delillerin bütünlük ve doğruluğudur.
Tüm deliller çok net ve açık olmalıdır.
Tüm araştırma sonucunda verilecek raporda en başındaki süreç de dahil olmak üzere her bir
an raporlanmalı ve bu rapor da mahkemeye sunulmalıdır.
Adli makamlarca anlaşılabilir
olmalıdır.
Vpn, Ip, Vlan, Account, Exploit,
Rootkit gibi terimler adli merciler
tarafından anlaşılmamaktadır.
9. DELILLERIN MUHAFAZASI
Adli Bilişim Delili eğer fiziksel cihazlar ise;
Saydam Statik Kutular gereklidir.
Köpük korumalı delil kutuları en iyi koruma yöntemlerinden biridir.
Büyük cihazlar için pat pat koruma ambalajlara sarılıp, saklanmalıdır.
Cihazların güvenliği taşınırken sağlamak için uyarı etiketleri konulmalıdır.
CD’ler tutanakla
zımbalanmamalıdır!
En çabuk kaybolan delil,
dijital delildir.
10. ADLI DELIL ZINCIRI
Adli delillerin elden ele dolaşmasındaki en büyük risk, ilk alınan delilin sonradan değişikliğe veya
bozulmaya uğraması riskidir.
Dijital delil ilk alındığı andan itibaren, el değiştirirken mutlaka tutanak ile teslim alınmalı, tutanak
ile «hash imzaları kontrol edilerek» el değiştirmelidir.
Raporlama aşamasında adli mercilere, delillerin kimlerin elinden geçtiği, hangi işlemlerin
yapıldığı mutlaka sunulmalıdır.
Adli delil içeren bir diskin içine film atıp, taşınmamalıdır.
Delil Zinciri Örneği
11. İMAJ ALMA TUTANAĞI
Soruşturma bilgileri,
Mahkeme bilgileri,
Şüpheli bilgileri,
Alınan ekipman bilgileri,
Uygulanan işlem bilgileri,
Teslim ve tesellüm bilgileri
12. İMAJ ALMA
Yazılımsal İmaj Alma
FTK, EnCase, GetData, ProDiscover, DD Imager, GuyMager.
Donanımsal İmaj Alma
DigitalIntelligence, NanoForensic, Dfinews, InsectraForensic, ParalanStore,
TD1, LogiCube, SOLO, HardCopy, RoadMASSter
13. YAZILIMSAL MI? DONANIMSAL MI?
Yazılımsal imaj alma uygulamalarında, disk bilgisayara bağlanmadan önce arada mutlaka
yazma önleyici (write blocker) bir aparat bulundurulmalıdır.
Donanımsal imaj almak, ekstra bir yazma önleyici aparat gerektirmediğinden daha güvenli
olabilmektedir.
Hız açısından, donanımsal imaj alma ile yazılımsal imaj alma arasında çok fark
bulunmamaktadır.
İki yöntemde de amaç, delilin değiştirilmeden incelenebilecek birden fazla kopya haline
getirilmesidir.
21. DİSK BİLGİLERİ
Gelen disk ile ilgili tutanakta yer alan,
Marka,
Model,
Seri Numarası,
Firmware Versiyonu,
Partition sayısı
Gibi değerler tutanakla karşılaştırılmalıdır.
Tutanaktaki değerlere uymayan bilgilerle karşılaşılması
Halinde ayrıca konu ile alakalı tutanak tutularak
Gerekli birimlere bildirilmelidir.
23. YENI OLAY EKLEME
Olayın Adı,
Olayın kısa açıklaması,
Verilerin tutulacağı klasör
Gibi seçimler yapılarak yeni bir olay oluşturulur.
24. KANIT TÜRÜ
Hazır bir imaj,
İmaj dizini,
Dizinler,
Bireysel dosyalar,
Fiziksel dizinler,
Mantıksal dizinler.
Benim klonladığım bir disk, fiziksel bir cihaz olduğu
için Physicial Drive seçerek devam ediyorum.
26. KANIT YÖNETIMI
Fiziksel sürücünün yolu,
Benzersiz numarası veya adı,
Açıklaması,
Kanıt grupları,
Zaman dilimi
Seçimleri yapılarak, disk incelemeye geçilir.
28. İMAJ ALMA
Diski bilgisayara taktıktan sonra gerekirse
FTK üzerinden de istediğiniz formatta
imajı tekrardan bilgisayarınıza
alabilirsiniz.
29. SEKMELER
Explore:
İncelenecek diskin imajı eklendiğinde ağaç menü görüntülenir
Overview:
Bu sekmede ise her şey kategoriler halinde bulunur. Silinmiş dosyalar, uzantılarına göre dosyalar, türüne göre dosyalar gibi.
Email:
Bu sekme eklenen disk içerisindeki e-posta verilerini toplar ve size getirir.
Graphics:
Diskteki tüm görselleri filtreler uygulayarak farklı listelemeler yapabilirsiniz (silinenler-uzantılarına göre-boyutuna göre gibi)
Bookmark:
Raporlama alanıdır. Raporlamak istediğiniz item’ları add bookmark’tan ekleyebilirsiniz. Bookmark alanına girdiğinizde, delil olabilecek
dediğiniz dosyaları bir arada görebilirsiniz.
Live Search:
Disk içerinde ince aramalar yaparsınız. Bu aramalar; bir kredi kartı numara formatı , telefon numarası formatı, tarih formatı, kimlik numarası
formatı, plaka formatı olabileceği gibi kullanıma bağlı olarak sayısız seçenek sunacaktır.
Index Search:
Bu sekme ise daha çok kelime vs.. aramaya yarar. Silinmiş ya da silinmemiş tüm verileri süzer ve aradığınızı bulup size getirir. Nerden
bulduğu, ne zaman silindiği, nasıl şifrelendiği vb.. gibi detaylı bilgilerle elbette.
Volatile:
Burada ise bir bilgisayarın ram imajından-kopyasından alınan bilgiler süzülür ve incelenir. Harddisklerde yada silinen alanlarda
bulamayacağınız bir veriye burada da rastlayabilirsiniz.
31. OVERVİEW
Bu sekmede ise her şey kategoriler halinde bulunur.
Silinmiş dosyalar, uzantılarına göre dosyalar, türüne
göre dosyalar gibi.
Vaka bazlı gruplama,
Uzantı bazlı gruplama,
Kategori bazlı gruplama,
Label bazlı gruplama,
MetaInfo bazlı gruplama,
Özel Gruplamalar (CC, Phone, SSN)
32. E-POSTA
Bu sekme eklenen disk içerisindeki e-posta verilerini
toplar ve size getirir.
E-Posta incelemesi yapıldığında, bizden istenen
exploit barındıran e-posta dosyasının imaj içerisinde
yer almadığı görülmüştür.
33. GRAPHICS
Diskteki tüm görselleri filtreler uygulayarak farklı
listelemeler yapabilirsiniz (silinenler-uzantılarına
göre-boyutuna göre gibi)
34. BOOKMARK
Raporlama alanıdır. Raporlamak istediğiniz
item’ları add bookmark’tan ekleyebilirsiniz.
Bookmark alanına girdiğinizde, delil
olabilecek dediğiniz dosyaları bir arada
görebilirsiniz.
35. INDEX SEARCH
Bu sekme ise daha çok kelime vs.. aramaya yarar.
Silinmiş ya da silinmemiş tüm verileri süzer ve
aradığınızı bulup size getirir. Nerden bulduğu, ne
zaman silindiği, nasıl şifrelendiği vb.. gibi detaylı
bilgilerle
36. LIVE SEARCH
Disk içerinde ince aramalar yaparsınız. Bu aramalar; bir kredi kartı numara formatı , telefon
numarası formatı, tarih formatı, kimlik numarası formatı, plaka formatı olabileceği gibi kullanıma
bağlı olarak sayısız seçenek sunacaktır.
Örneğin;
<[1-2]?[0-9]?[0-9].[1-2]?[0-9]?[0-9].[1-2]?[0-9]?[0-9].[1-2]?[0-9]?[0-9]>
Bu pattern ile, diskin içinde yer alan tüm IP numaralarını bulabilirsiniz.
37. VOLATILE
Bir bilgisayarın ram imajından-kopyasından alınan
bilgiler süzülür ve incelenir.
Harddisklerde yada silinen alanlarda bulamayacağınız
bir veriye burada da rastlayabilirsiniz.
38. RAPORLAMA
Mahkeme ve dava bilgileri, tarih, yer, zaman bilgileri yazılmalıdır.
Kanaat ve tespitler birbirinden ayırılmalıdır.
Raporlamada teknik terimlerden kaçınılmalıdır.
Birden fazla suç içerecek konular ayrı paragraflarda yazılmalıdır.
İncelenen metaryaller ince ayrıntıyla yazılmalıdır.
Delilin bulunduğu yol detaylı yazılmalıdır. (Telefonun içindeki Sandisk 1 GB hafıza
kartı içerisinde (root/DCIM/00123.MP4 yolundaki video)
İşlemi A şahsı yapmıştır ifadeleri kullanılmamalıdır.
Rapor adli makama verilmeden bir başkası tarafından gözden geçirilmelidir.
«Silinmiş dosyalar» terimi, insanlar tarafından kasti mi silindi, yoksa uygulama
tarafından mı silindi, detaylandırılmalıdır.